189 8069 5689

安全linux服务器 linux服务器安全策略配置

linux服务器所需要的杀毒软件

1、首先在clamav官网上下载安装包,在官网download的界面里下载,可以看到当前最新的稳定版本。点击名称下载即可。

在资阳等地区,都构建了全面的区域性战略布局,加强发展的系统性、市场前瞻性、产品创新能力,以专注、极致的服务理念,为客户提供成都做网站、网站建设、外贸营销网站建设 网站设计制作按需求定制制作,公司网站建设,企业网站建设,品牌网站制作,全网营销推广,外贸网站制作,资阳网站建设费用合理。

2、然后解压安装。在安装之前先创建一个clamav的用户组和组成员。

3、解压安装:这一步最好在root权限下进行,安装杀毒软件查杀的就是root下的文件。依次做扒执行图片中的指令进行config、编译、安装。

4、然后执行make,没有报错,编枣蚂译成功。然后make install,目前clamav的安装就完成了。

5、使用clamsan扫描一下,发现出现下面的错误。仔细查看了一下,目前没有可用的病毒库。

6、这时创建几个目录并设定权限。设置配置文件。

7、更新配置文件,在配置文件中加入下面的内容。需要把freshclam.conf和clamd.conf配置文件中的Example那一行去掉。

8、最后更新病毒库,这个需要一段时间纯岩昌。更新完成后,再次执行第5个步骤的命令进行扫描,就可以了。

防黑加固Linux服务器安全加固?

使用一些安全测试的办法与工具对服务器进行风险检测,找出服务器的脆弱点以及存在的安全缺陷。

针对服务器操作系统自身的安全测试,包括一些系统配置、主机漏洞扫描等等

查看服务器操作系统当前用户是否为root用户,尽量避免使用root用户登录,启动其他服务程序,除非是一些需要root权限的安全工具,前提需要保证猛竖工具来源可信。终端需要 who 既可以查看当前登录用户。

登录到Linux系统,此时切换到root用户,下载lynis安全审计工具,切换到lynis运行脚本目录,执行 ./lynis --check-all –Q 脚本语句,开始对本地主机扫描审计,等待扫描结束,查看扫描结果。

登录到Linux系统,切换到root用户,使用命令行方式安装Clamav 杀毒软件,安装完毕需要更新病毒库,执行扫描任务,等待扫描结束获取扫描结果,根据扫描结果删除恶意代码病毒;

登录到Linux系统,切换到尺念root用户,下载Maldetect Linux恶意软件检测工具,解压缩后完成安装。运行扫描命令检测病毒,等待扫描结束获取扫描报告,根据扫描报告删除恶意病毒软件;

登录到Linux系统,切换到root用户,下载Chkrootkit后门检测工具包,解压缩后进入 Chkrootkit目录,使用gcc安装Chkrootkit,安装成功即开始Chkrootkit扫描工作,等待扫描结束,根据扫描结果恢复系统;

登录到Linux系统,切换到root用户,下载RKHunter 后门检测工具包,解压缩后进入 RKHunter 目录,执行命令安装RKHunter ,安装成功即开始启用后门检测工作,等待检测结束,根据检测报告更新操作系统,打上漏洞对应补丁;

使用下面工具扫描Web站点:nikto、wa3f、sqlmap、safe3 … …

扫描Web站点的信息:操作系统类型、操作系统版本、端口、服务器类型、服务器版本、Web站点错误详细信息、Web目录索引、Web站点结构、Web后台管理页面 …

测试sql注入,出现几个sql注入点

测试xss攻击,出现几个xss注入点

手动测试某些网页的输入表单,存在没有进行逻辑判断的表单,例如:输入邮箱的表单,对于非邮箱地址的输入结果,任然会继续处理,而不是提示输入错枝困大误,返回继续输入。

针对风险测试后得到的安全测试报告,修复系统存在的脆弱点与缺陷,并且进一步加强服务器的安全能力,可以借助一些安全工具与监控工具的帮助来实现。

对服务器本身存在的脆弱性与缺陷性进行的安全加固措施。

使用非root用户登录操作系统,使用非root用户运行其他服务程序,如:web程序等;

web权限,只有web用户组用户才能操作web应用,web用户组添加当前系统用户;

数据库权限,只有数据库用户组用户才能操作数据库,数据库用户组添加当前系统用户;

根据安全审计、恶意代码检查、后门检测等工具扫描出来的结果,及时更新操作系统,针对暴露的漏洞打上补丁。

对于发现的恶意代码病毒与后门程序等及时删除,恢复系统的完整性、可信行与可用性。

部署在服务器上的Web站点因为程序员编写代码时没有注意大多的安全问题,造成Web服务站点上面有一些容易被利用安全漏洞,修复这些漏洞以避免遭受入侵被破坏。

配置当前服务器隐藏服务器信息,例如配置服务器,隐藏服务器类型、服务器的版本、隐藏服务器管理页面或者限制IP访问服务器管理页面、Web站点错误返回信息提供友好界面、隐藏Web索引页面、隐藏Web站点后台管理或者限制IP访问Web站点后台。

使用Web代码过滤sql注入或者使用代理服务器过滤sql注入,这里更加应该使用Web代码过滤sql注入,因为在页面即将提交给服务器之前过滤sql注入,比sql注入到达代理服务器时过滤,更加高效、节省资源,用户体验更好,处理逻辑更加简单。

如何保证Linux服务器的安全

博客 – 伯乐在线

首页最新文章在线课程业界开发 IT技术 设计 创业IT职场投稿更多 »

伯乐在线 首页 所有文章 IT技术 如何保证Linux服务器的安全

如何保证Linux服务器的安全

2013/06/29 | 分类: IT技术 | | 标签: Linux, 服务器

分享到: 99

less即学即用

iOS-动画进阶

洪大师带你解读Symfony2框架

HTML5存储磨启段

本文由 伯乐在线 - 贾朝藤 翻译。未经许可,禁止转载!

英文出处:Spenser Jones。欢迎加入翻译小组。

很少见有人马上为一台新安装的服务器做安全措施,然而我们生活所在的这个社会使得这件事情是必要的。不过为什么仍旧这么多人把它拖在最后?我也做过相同的事,这通常可以归结为我们想要马上去折腾那些有趣的东西。希望这篇文章将向大家展示,确保服务器安全没有你想得那样难。在攻击开始后,俯瞰你的“堡垒”,也相当享受。

这篇文章为 Ubuntu 12.04.2 LTS 而写,你也可以在任何其他 Linux 分发版上做相同的事情。

我从哪儿开始?

如果服务器已经有了一个公有IP,你会希瞎誉望立即锁定 root 访问。事实上,你得锁定整个ssh访问,并确保只有你可以访问。增加一个新用户,把它加入admin组(在/etc/sudoers预配置以拥有sudo访问权限)。

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

$ sudo addgroup admin

Adding group 'admin' (GID 1001)

Done.

$ sudo adduser spenserj

Adding user `spenserj' ...

Adding new group `spenserj' (1002) ...

Adding new user `spenserj' (1001) with group `spenserj' ...

Creating home directory `/home/spenserj' ...

Copying files from `/etc/skel' ...

Enter new UNIX password:

Retype new UNIX password:

passwd: password updated successfully

Changing the user information for spenserj

Enter the new value, or press ENTER for the default

Full Name []: Spenser Jones

Room Number []:

Work Phone []:

Home Phone []:

Other []:

Is the information correct? [Y/n] y

$ sudo usermod -a -G admin spenserj

你也将希望在你电脑上创建一个旁带私有key,并且在服务器上禁用讨厌的密码验证。

1

2

$ mkdir ~/.ssh

$ echo "ssh-rsa [your public key]" ~/.ssh/authorized_keys

/etc/ssh/sshd_config

1

2

3

4

PermitRootLogin no

PermitEmptyPasswords no

PasswordAuthentication no

AllowUsers spenserj

重新加载SSH,使用修改生效,之后尝试在一个新会话中登陆来确保所有事情正常工作。如果你不能登陆,你将仍然拥有你的原始会话来做修改。

1

2

3

$ sudo service ssh restart

ssh stop/waiting

ssh start/running, process 1599

更新服务器

既然你是访问服务器的唯一用户,你就不用担心黑客鬼鬼祟祟进入,再次正常呼吸。当有一些针对你服务器的更新时,正是修补的机会,所以动手吧,就现在。

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

$ sudo apt-get update

...

Hit precise-updates/universe Translation-en_CA

Hit precise-updates/universe Translation-en

Hit precise-backports/main Translation-en

Hit precise-backports/multiverse Translation-en

Hit precise-backports/restricted Translation-en

Hit precise-backports/universe Translation-en

Fetched 3,285 kB in 5s (573 kB/s)

Reading package lists... Done

$ sudo apt-get upgrade

Reading package lists... Done

Building dependency tree

Reading state information... Done

The following packages have been kept back:

linux-headers-generic-lts-quantal linux-image-generic-lts-quantal

The following packages will be upgraded:

accountsservice apport apt apt-transport-https apt-utils aptitude bash ...

73 upgraded, 0 newly installed, 0 to remove and 2 not upgraded.

Need to get 61.0 MB of archives.

After this operation, 151 kB of additional disk space will be used.

Do you want to continue [Y/n]? Y

...

Setting up libisc83 (1:9.8.1.dfsg.P1-4ubuntu0.6) ...

Setting up libdns81 (1:9.8.1.dfsg.P1-4ubuntu0.6) ...

Setting up libisccc80 (1:9.8.1.dfsg.P1-4ubuntu0.6) ...

Setting up libisccfg82 (1:9.8.1.dfsg.P1-4ubuntu0.6) ...

Setting up libbind9-80 (1:9.8.1.dfsg.P1-4ubuntu0.6) ...

Setting up liblwres80 (1:9.8.1.dfsg.P1-4ubuntu0.6) ...

Setting up bind9-host (1:9.8.1.dfsg.P1-4ubuntu0.6) ...

Setting up dnsutils (1:9.8.1.dfsg.P1-4ubuntu0.6) ...

Setting up iptables (1.4.12-1ubuntu5) ...

...

安装防火墙

安装现在正最流行的防火墙软件?好,行动吧。那就配置一个防火墙。之后你总是可以增加另一个异常,几分钟额外的工作并不会折腾死你。Iptables在Ubuntu里预装了,所以去设置一些规则吧。

1

$ sudo mkdir /etc/iptables

/etc/iptables/rules

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

*filter

:INPUT DROP [0:0]

:FORWARD DROP [0:0]

:OUTPUT DROP [0:0]

# Accept any related or established connections

-I INPUT 1 -m state --state RELATED,ESTABLISHED -j ACCEPT

-I OUTPUT 1 -m state --state RELATED,ESTABLISHED -j ACCEPT

# Allow all traffic on the loopback interface

-A INPUT -i lo -j ACCEPT

-A OUTPUT -o lo -j ACCEPT

# Allow outbound DHCP request - Some hosts (Linode) automatically assign the primary IP

#-A OUTPUT -p udp --dport 67:68 --sport 67:68 -j ACCEPT

# Outbound DNS lookups

-A OUTPUT -o eth0 -p udp -m udp --dport 53 -j ACCEPT

# Outbound PING requests

-A OUTPUT -p icmp -j ACCEPT

# Outbound Network Time Protocol (NTP) request

-A OUTPUT -p udp --dport 123 --sport 123 -j ACCEPT

# SSH

-A INPUT -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT

# Outbound HTTP

-A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT

-A OUTPUT -o eth0 -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT

COMMIT

通过 iptables-apply 命令为规则集生效。如果你丢失连接,修补你的规则,在继续之前再试一下

1

2

3

4

$ sudo iptables-apply /etc/iptables/rules

Applying new ruleset... done.

Can you establish NEW connections to the machine? (y/N) y

... then my job is done. See you next time.

创建文件 /etc/network/if-pre-up.d/iptables,然后写入下面内容。当你启动服务器的时候,将自动载入你的iptables规则。

/etc/network/if-pre-up.d/iptables

1

2

#!/bin/sh

iptables-restore /etc/iptables/rules

现在给它执行权限,执行文件,以确保它正常载入


当前文章:安全linux服务器 linux服务器安全策略配置
网页URL:http://gzruizhi.cn/article/dsphchc.html

其他资讯